实战攻防中的信息收集技术详解

一、目标单位信息收集

1. 本单位信息收集

• 单位全名、简称、别名：通过企业官网、新闻报道等渠道获取
• 挂牌单位：多见于政府机构，需注意特殊标识
• 子单位：包括直接下属单位和投资单位
  • 直接下属单位：常见于官方上下级单位（如省厅级、市局级），可能存在内网联通或特殊内网（政务网、教育网、GA网、环境网）
  • 投资单位：全资控股或大于50%控股单位，可能存在内网联通
  • 业务包含单位：多见于官方单位的独立组织机构

2. 供应链单位信息

• 范围：开发商、外包商、运维商、硬件提供商
• 获取途径：
  • 官网"供应商"关键词
  • 系统备份文件或模板页面源代码中查找供应商信息
  • 搜索引擎搜索特定系统名称+"招标公告"+应标单位

二、组织机构与职能分工

1. 目标单位组织结构

• 获取途径：
  • 官网"组织机构"栏目
  • 官网"领导简介"中的领导分工
  • 官网"关于我们"中的年报或企业社会责任报告

2. 人员信息收集

• 收集内容：
  • 员工姓名、生日、邮箱、手机号、部门名称
  • 常用密码、工号规则
  • 新员工公告、登录入口、默认密码

三、互联网检索技术

1. 检索内容

• 单位网络信息
• OA/ERP/CRM/SSO/Mail/VPN等边界入口
• 网络和安全设备(WAF,IPS,IDS,Router等)
• 内部使用的代码托管平台(GitLab、DaoCloud等)
• 服务器域名资产统计
• 人员统计、职责、部门信息
• WiFi信息、常用部门密码

2. 搜索途径

• 常用搜索引擎：
  • Google：site:xxx.com "身份证号/学号/工号/vpn" (filetype:xls/doc)
  • 百度、Bing、360搜索、搜狗
• Wiki资源：
  • 维基百科、百度百科
• 社交平台：
  • 贴吧、微信搜索、脉脉、知乎等

四、敏感文件泄露收集

1. 官网公示与公告

• 学生获奖名单、教师职称申报结果等公示表格

2. 网盘资源

• 收集范围：凌风云、百度网盘、阿里云盘、坚果云等
• 收集内容：员工信息文件、企业网络拓扑、边界资产等
• 在线搜索工具：
  • 超能搜、猪猪盘、云盘狗、来搜一下、小马盘、飞猪盘、凌风云

3. 文库文档

• 百度文库、搜文库、360文库搜索

4. 代码泄露

• 代码托管平台：
  • GitHub：搜索"xxx.edu.cn" "username/password/vpn/secretkey/accesskey"
  • Gitee、自建GitLab/Gitblit
• 目录扫描结果：
  • .git、.svn、.hg、.CVS、.bzr等版本控制目录
  • 网站备份文件：www.zip、xx.com.zip等
  • 系统配置文件：.DS_Store、.idea、.vscode、.swp

五、目标资产收集技术

1. 根据靶标信息收集

• 定位方法：
  • 获取靶标相关文档和信息
  • 了解靶标所处的网络区域、架构(B/S或C/S)、IP/URL
  • 了解靶标的运维部门、面向对象等

2. 根据官网信息收集

• 官网宣传内容
• 官网可跳转的系统
• 大型公司的子公司官网
• 国外不同域名的国外官网涉及系统

3. 根据目标单位收集

• 企业信息查询：爱企查、天眼查、企查查的知识产权
• 网站备案：软件著作权信息、商标信息
• 小蓝本：APP、新媒体、网站、商标信息

六、APP信息收集与分析

1. APP搜索

• 点点、小蓝本、Apple Store、七麦数据

2. APP分析技术

• 思路：
  • 反编译：收集安装包中的URL、JS、OSSKey、API等
  • 请求测试：对客户端向服务端的发包进行渗透测试
• 工具：
  • ApkAnalyser、AppInfoScanner、jadx、bytecode-viewer

3. 分析脱壳技术

• 幸运破解器、BlackDex、fdex2、微脱壳、反射大师、APK Editor、Apktool、NP管理器

4. 绕过限制抓包

• HttpCanary(小黄鸟)、Wicap、Packet Capture
• JustTrustMe++、Fiddler+BP、Mitmproxy、Charles

七、历史漏洞收集

1. 收集内容

• 历史存在的旧漏洞
• 漏洞描述中泄露的旧资产名称和IP

2. 工具与平台

• CNVD、WooYun镜像
• Seebug、CVE Details、Sploitus、Vulners、Exploit Database

八、常见边界系统收集

• 邮箱系统
• VPN系统
• OA系统
• SSO单点登录
• Wiki系统
• 云平台
• 代码托管平台(GitHub、Gitee、自建GitLab/Gitblit)
• 网络/安全设备
• 内部办公移动终端

九、网络空间搜索引擎技术

1. FOFA

• 语法示例：
  • title="目标中文名" && country=CN
  • header="目标中文名" && region="xx省"
  • domain="目标域名"
  • cert="目标域名和域名关键字" && city="xx市"

2. Hunter

• 优点：目前国内目标资产收集最多的网络空间搜索引擎
• 缺点：搜索结果中无效信息较多，需要严格搜索条件

3. Censys

• 优点：对官方资产没有刻意隐藏，搜索结果较全
• 缺点：国外工具，部分网络下需要科学上网

4. 其他引擎

• Quake、Shodan、ZoomEye、Soall、Sumap

十、偏门资产收集技术

• 无特征资产：通过C段web服务的批量扫描，结合行业特征确认
• 大型企业未公开APP：可能存在低版本Fastjson、Shiro等漏洞

十一、Web信息发散收集

1. 域名信息

• WHOIS查询：
  • 站长之家、Bugscanner、国外BGP、who.is
  • WHOIS反查：通过WHOIS的邮箱或电话反查其他注册域名
• DNS解析记录：
  • DNS db、DNS历史解析、DNSdumpster

2. 子域名信息收集

• 网络空间搜索引擎：domain语法、cert语法
• 搜索引擎：Google使用site:xxx.com -www -abc循环排除收集
• 工具批量收集：
  • OneForAll、teemo、ksubdomain、Sublist3r、knock、subDomainsBrute、aquatone

3. IP信息收集

• 端口扫描：
  • Nmap：nmap -sS -v -sV -p 1-65535 -Pn IP
  • Goby、gorailgun
• Bypass CDN：
  • 查询邮件服务器
  • 查看域名历史解析记录
  • 国外访问或多地访问
  • Nslookup查询
  • 网站内容或漏洞分析
  • GitHub等源代码泄露
• IP定位：
  • OpenGPS、ipuu、sojson、geoplugin
• 威胁情报：
  • 微步、360威胁情报、奇安信威胁情报

4. C段信息

• 资产收集：C段关键端口/全端口扫描+指纹识别
• 网络空间搜索引擎：ip:"1.1.1.0/24"
• ASN和BGP：
  • 1-64511为公有AS，64512-65535为私有AS
  • ASN编号查询：cidr-report.org

5. 旁站信息

• 在线查询：chinaz、ip138
• Host碰撞工具：hostscan、Hosts_scan

十二、Web信息深度收集

1. 可收集范围

• title & URL
• 网站页面内容
• header信息
• body内容
• footer信息
• error报错信息
• 前端资源

2. Banner识别技术

• 识别方法：
  • 响应包的cookie等header头
  • body中的Banner关键字
  • web页脚Power By图标logo
  • 关键路径、报错信息
  • CSS和js特殊名称
• 识别工具：
  • 被动指纹收集插件Heimdallr
  • 在线识别：云悉、whatweb、Builtwith
  • 脚本工具：Wappalyzer、WhatWeb、TideFinger、nmap
  • 批量工具：EHole、Glass、bufferfly、ObserverWard
  • 综合工具：ShuiZe、AlliN

3. 目录扫描技术

• 扫描工具：Dirmap、dirsearch
• 常见敏感目录：
  • 中间件或框架特征文件
  • robots.txt和crossdomain.xml
  • web服务配置文件
  • 备份文件(www.zip等)
  • 代码泄露文件(.svn/.git等)
  • 系统或软件配置文件
  • 业务页面(API接口、管理登录等)

4. Web敏感信息

• 网站Icon：FOFA语法icon_hash="-1231872293"
• SSL证书：
  • 证书详情：使用者(CN/O/OU/L/S/C)、使用者可选名称、颁发者、使用周期
  • 工具：sslscan探测服务端支持的算法和漏洞
• 前端源码注释：view-source查看
• URL和域名收集：
  • 在线提取工具
  • JSFinder、LinkFinder
  • webpack类前端扫描Packer-Fuzzer
• JS文件敏感信息：
  • 手动搜索IP、API、URL、secretKey
  • API搜索关键词：config/api、method:"get"、http.get、$.ajax等

5. 安全设备和网络架构

• 安全设备：WAF识别工具(wafw00f、WhatWaf、identYwaf)
• 蜜罐检测：
  • 网络空间搜索引擎标记
  • 工具检测jsonp
  • chrome插件anti-honeypot
• 网络架构：
  • CDN信息
  • 运维设备
  • 网络设备
  • 网络拓扑图
  • 项目文档、业务系统说明

6. 历史页面信息

• 时间机器：cachedpages.com
• web存档：web.archive.org

十三、目标社工信息收集

1. 人员基本信息

• 身份信息(姓名、性别、大概年龄)
• 单位职位
• 日常工作内容
• 计算机基础掌握情况
• 系统版本(Windows、Mac)
• 软件安全情况(安全意识、浏览器版本、office版本)

2. 单位基本信息

• 内部员工的互相称呼
• 工作流(沟通软件、沟通方式)
• 运维策略(企业杀软、安全人员素质、办公方式)

十四、社工资源收集技术

1. 邮箱收集

• 收集途径：
  • 天眼查、企查查、爱企查
  • 搜索引擎检索单位名称+关键词(联系方式、简历、招聘等)
  • SGK获取指定人员信息
  • GitHub等代码托管平台
  • 社交平台(脉脉、微博)
  • Google论坛
• 工具：
  • 在线工具：email-format、skymem、snov.io
  • 本地工具：teemo、theHarvester

2. 社交平台收集

• 平台分类：
  • 即时通讯类：QQ、微信、企业微信、钉钉、飞书
  • 职能类：支付宝、脉脉、领英
  • 博客论坛类：微博、知乎、贴吧、人人
  • 娱乐类：咸鱼、短视频
• 实战实践：
  • 贴吧搜索单位关键词
  • 知乎搜索公司、子公司名称
  • QQ群、微信群搜索敏感信息
  • 脉脉会员搜目标信息

3. 手机号收集

• 400/客服电话
• 手机号公开信息收集
• 查询手机号注册过的网站：reg007

4. 密码收集和社工字典

• 已有密码收集：
  • SGK
  • GitHub等代码托管平台
  • 社交平台泄露文件
  • 查询账户是否泄露：haveibeenpwned
  • 目标系统的数据库、用户管理功能
• 社工字典生成：
  • 使用抓取的RDP、SSH密码撞库
  • 使用已有泄露web账户密码撞库
  • 根据单位、姓名、生日、工号等生成
• 工具：
  • 在线：bugku弱密码、weakpass、xiaobaibk
  • 本地：pydictor、bearSG、cupper、BaiLu-SED-Tool、elpscrk

5. 图片收集

• 图片搜索：百度识图、Google识图、Tineye
• 图片文件信息分析：
  • 元数据(EXIF、IPTF、XMP)
  • 查看方式：图片属性、Photoshop高级选项

十五、近源信息收集

• 公司地址信息
• 物理U盘入侵
• 门禁模拟
• 公司无线分布点(wifi破解)
• IT管理员信息
• 网络/安全设备厂商客服

十六、攻击者伪装身份构造

• 角色身份(应聘者、安全管理员、人事行政人员)
• 构建贴合身份的邮件格式
• 简历钓鱼(准备多种简历身份信息)
• 就近选择大学伪装身份

十七、行业特定信息收集

1. 气象局

• 系统关键词：污染、排污、空气质量、环评、辐射、监测等

2. 教育行业

• 教育厅：通过官网机构设置、直属单位获取组织结构
• 学校：
  • 学校名下公司、出版社、基金会、校友会
  • 快速突破口：VPN、SSO，在信息化门户搜集登录规则

3. 医疗行业(卫健委)

• 提取关键字：机构-内设机构、委领导-分管工作
• 卫健委前身卫计委、卫生部/卫生厅/卫生局
• 妇幼保健院隶属于卫健委

4. 金融行业(银行)

• 官网通常是业务展示，组织架构参考社会责任报告、年报
• 突破口：
  • 微信公众号、小程序
  • 移动端APP
  • 未开放系统或测试系统

5. 政务行业(政务云)

• 可能突破口：
  • 市场监督管理局-特种设备管理
  • 浪潮云表单
  • 集约化系统
  • 重要景区系统
  • 广电局、广播电视局

十八、自动化信息收集思路

1. 自动化获取单位名称的50%以上子公司列表
2. 通过域名历史解析IP、DNS区域传送漏洞等收集域名，进行IP权重确认
3. 筛选高价值C段，进行C段信息收集
4. 针对批量域名或C段资产先做WAF识别和Banner识别
   • 不存在WAF：进行xray、awvs漏扫
   • 存在WAF：根据Banner结果进行手动测试

十九、高级信息收集工具与技术

1. 域名收集

• 被动抓取：domain_hunter_pro
• 历史IP：Threatbook、DNS db、dns检测、Xcdn、ipchaxun、DNSdumpster

2. 子域名发现

• dnsgen：基于已有子域名生成更多可能性
• regulator：指定根域名和前缀生成子域名

3. 网站架构识别

• 工具：WhatWeb、Builtwith、EyeWitness、云悉、Wappalyzer、EHole、TideFinger、ObserverWard、ShuiZe、AlliN

4. 子域名爆破

• 工具：Amass、OneForAll、ksubdomain、subDomainsBrute
• 在线查询：phpinfo.me、chinacycc

5. SSL证书信息

• crt.sh、censys证书查询
• sslScrape工具

6. DNS历史解析

• DNSdumpster、censys、securitytrails
• 域传送漏洞检查：Dnsenum、fierce

7. 同服站点查询

• site.ip138
• 火狐插件flagfox

8. 网站JS分析

• getJS、JSFinder、LinkFinder
• webpack类前端扫描Packer-Fuzzer

9. 云信息收集

• 阿里云、AWS、GCP、Azure等云平台公开实例
• 工具：s3-buckets-finder、aws-inventory、AWSBucketDump

10. 端口扫描

• Masscan、scanport等工具
• 重点关注常见端口的利用方法

11. WAF识别

• wafw00f工具
• 制定绕过策略

12. 搜索引擎高级技巧

• Google自定义搜索引擎整合社交网站和文件共享网站
• 领英用户提取

13. 信息泄露检测

• 目录遍历、备份文件、版本控制目录
• 工具：ds_store_exp、svnExploit

14. 网页缓存查询

• cachedpages、web.archive

15. 图片反查

• 百度识图、Google识图、tineye
• 原图查询坐标

16. 社交工程

• QQ、微博、支付宝、脉脉等平台信息收集
• 手机号加入通讯录匹配APP用户信息

17. 注册网站查询

• reg007、usersearch

18. 邮箱搜集

• hunter、veryvp、email-format、yingyanso
• 验证工具：verifyemailaddress
• theHarvester工具

19. Exchange信息收集

• MailSniper工具

20. 历史泄露查询

• haveibeenpwned
• GitHub项目：haveibeenpwned

21. 代码托管平台

• truffleHog、GitHack、x-patrol、Github_Nuggests
• GithubCloner克隆用户仓库

22. 被入侵网址查询

• zone-h.org存档
• 乌云镜像、Seebug、Exploit Database、Vulners、Sploitus

23. GPS查询

• opengps、chaipip、cz88

24. 网站URL提取

• bulkdachecker

25. 蜜罐判断

• honeyscore、hunter
• 浏览器插件anti-honeypot
• Heimdallr工具

26. 默认密码查询

• default-password.info
• routerpasswords

27. 临时注册服务

• 短信接收：materialtools、receivefreesms
• 临时邮箱：10minutemail、mytrashmailer、24mail
• 假身份生成：fakenamegenerator、haoweichi、fakeaddressgenerator

28. 企业信息查询

• 维基百科、天眼查、企查查、企业信用信息公示系统

29. 监控资产

• 使用subfinder、oneforall等工具定期扫描子域名
• 对比旧结果，新结果写入数据库并记录时间

二十、注意事项

1. 本技术文档仅供安全研究和学习使用
2. 任何未经授权的网络探测和渗透测试都是非法的
3. 在实际工作中必须获得书面授权后才能进行相关测试
4. 信息收集过程中应注意保护个人隐私和企业敏感信息
5. 遵守当地法律法规和行业规范